- - PR -
DMZ内のAP/DBサーバ連携について
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-24 13:03
こんにちは。
大御所がRESされてるので、自分が……とも思いましたが^^; > FWも含め経由するNW機器でstaticにルート追記+ACLによる端末制限で構成するの > は無理がありますでしょうか。 どうしてもDB ServerをDMZにおきたいのであれば止めはしませんが、下手な小細工を弄すると運用が破綻しますよ。 HUBのPortが足りないのであればPortの多いものに交換するべき。破綻した運用のリカバリに必要な人件費を考えたら安いもんです(別にWS-C6509を追加しなきゃ、というわけではないですよね?)。 閑話休題。 AP Server⇔DB Server間にF/Wをはさむのは、セキュリティー確保の為だけではありません。F/Wにて通信ログをとる事により、万が一AP Serverが陥落した場合でも、被害がどこまでかを知るひとつの手段となります。ですので、AP Server⇔DB Server間にF/Wをはさむ事を推奨。その際は必ずログの運用も考えてくださいね。 AP ServerのOS、F/Wのプロダクトがなにかわかりませんけど、AP ServerがUnix系でF/WがNetScreen等のF/Wであった場合、前者と後者ではパケット評価の方式が大きく異なる為、両者違いがないわけではありません(前者はパケットF/Wで後者はアプリケーションF/W。前者のほうはより近代的な攻撃には無力かと)。 それとAP Serverにかかる負荷も考慮してますか? iptableでバリバリACLかけると、結構な負荷になると思いますが(このあたりはUnix使いの方にお任せします^^;) F/Wっていうかセキュリティーは構築したら終わりではなく、後々の運用が非常に重要なはずですので、ちょっとでいいので運用のことも思い出してやってください。 # 自分だったら、今回の構成は2段F/Wにするかな。 | ||||||||
|
投稿日時: 2006-10-24 14:53
その導入が重要なのであれば, 「今の都合」ではなく「将来の可能性」に備えた方がよいと思います.
ご理解いただいているとおり,「無理矢理」だと思います. 「内部からも守らなければならない」という security policy があるなら DMZ に置くべきでしょう. ですが,そういった条件がないなら Wind 様の書かれている内容で 十分な説明になると思います. | ||||||||
|
投稿日時: 2006-10-27 19:35
kaz様 Wind様
返事が遅れてしまい申し訳ありません。 大変貴重なご意見ありがとうございます。 確かに構築にすることに気をとられ、その後の運用に関しては気にも留めておりませんでした。 なぜFWを置くのか、何を何から守るために最善の手を尽くすのかを、改めて考えてみたいと思います。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。